目录扫描，存在源码泄露www.zip

ThinkPHP框架

ThinPHPV6.0.0

漏洞成因：ThinkPHP6任意文件操作漏洞分析

session可控，修改session，长度为32位，session后缀改为.php（加上.php后为32位）
然后再search搜索的内容会直接保存在/runtime/session/目录下，getshell

1. 先注册一个账户
2. 登录这个账户抓包，修改session
3. 在搜索框写入一句话
   
   key的值会被写入到session文件当中
   
   访问shell路径

/runtime/session/sess_1234567890123456789012345678.php

得到shell，但是发现和BUUCTF：[极客大挑战 2019]RCE ME这一题一样，有disable_function限制，php版本

disable_function绕过exp连上蚁剑，找个能上传文件的地方，上传exp，这里我还是和之前一样上传到/var/tmp/目录当中

修改我们exp执行命令为执行/readflag

最后包含这个文件即可得到flag